Este documento describe cómo autenticar aplicaciones o cargas de trabajo que se ejecutan en un entorno de producción en Compute Engine o se prueban localmente para su futura implementación en el entorno de producción. Puedes hacer lo siguiente:
- Autentique sus cargas de trabajo para utilizar las API de Google
- Autentique sus cargas de trabajo en otras cargas de trabajo a través de mTLS
Autentique sus cargas de trabajo para utilizar las API de Google
Utilice la siguiente tabla para determinar qué método de autenticación utilizar para sus cargas de trabajo.
| Tarea | Método |
|---|---|
| Autenticar aplicaciones o cargas de trabajo que están en producción. | Utilice la cuenta de servicio que está adjunta a la VM. Este es el método más común para autenticar aplicaciones y cargas de trabajo que se ejecutan en instancias de máquinas virtuales (VM) en Google Cloud. Para obtener instrucciones detalladas, consulte Autenticar cargas de trabajo para Google Cloud API que utilizan cuentas de servicio . |
| Autenticar aplicaciones o cargas de trabajo que están en desarrollo | Utilice el SDK de Google Cloud y las credenciales predeterminadas de la aplicación. Para obtener más información, consulte Configurar ADC para un entorno de desarrollo local . |
| Autorizar aplicaciones y cargas de trabajo que necesitan acceso a los recursos del usuario final | Si está creando herramientas de desarrollo o administración donde los usuarios le otorgan acceso a sus Google Cloud recursos, obtenga acceso de su aplicación a los recursos del usuario mediante OAuth 2.0. Para obtener instrucciones detalladas, consulte Uso de OAuth 2.0 para aplicaciones de servidor web . En su solicitud, especifique un alcance de acceso que limite su acceso solo a los métodos y la información de usuario que requiere su aplicación. Para obtener una lista completa de servicios y alcances requeridos en Google Cloud, consulte Ámbitos de OAuth 2.0 para las API de Google . |
Autentique sus cargas de trabajo en otras cargas de trabajo a través de mTLS
Puede autenticar aplicaciones o cargas de trabajo mediante identidades de cargas de trabajo administradas . Este método de autenticación utiliza una cuenta de servicio, grupos de autoridades de certificación (CA) e identidades de cargas de trabajo administradas.
Las identidades de cargas de trabajo administradas te permiten vincular identidades fuertemente certificadas a tus cargas de trabajo de Compute Engine. Google Cloud Proporciona credenciales X.509 emitidas por el servicio de autoridad de certificación que se pueden utilizar para autenticar de manera confiable su carga de trabajo con otras cargas de trabajo a través de autenticación TLS (mTLS) mutua .
Su carga de trabajo utiliza la identidad de la carga de trabajo administrada como identidad cuando se autentica en otras cargas de trabajo mediante TLS mutuo (mTLS) y utiliza la cuenta de servicio como identidad cuando accede a otras cargas de trabajo.Google Cloud servicios y recursos.
Para obtener más información, consulte Autenticar cargas de trabajo en otras cargas de trabajo a través de mTLS .
¿Qué sigue?
- Obtenga más información sobre los siguientes conceptos: